Uroš Popović v krátkém článku vysvětluje, co jsou emulátor terminálu, TTY a shell a jaké jsou mezi nimi rozdíly. Jde o první díl seriálu na jeho novém webu Linux Field Guide věnovaném nízkoúrovňové práci s linuxovými systémy.
Byl vydán Debian 13.5, tj. pátá opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.14, tj. čtrnáctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.
CiviCRM (Wikipedie) bylo vydáno v nové verzi 6.14.0. Podrobnosti o nových funkcích a opravách najdete na release stránce. CiviCRM je robustní open-source CRM systém navržený speciálně pro neziskové organizace, spolky a občanské iniciativy. Projekt je napsán v jazyce PHP a licencován pod GNU Affero General Public License (AGPLv3). Český překlad má nyní 45 % přeložených řetězců a přibližuje se milníku 50 %. Potřebujeme vaši pomoc, abychom se dostali dál. Pokud máte chuť přispět překladem nebo korekturou, přidejte se na platformu Transifex.
Další lokální zranitelností Linuxu je ssh-keysign-pwn. Uživatel si může přečíst obsah souborů, ke kterým má právo ke čtení pouze root, například soubory s SSH klíči nebo /etc/shadow. V upstreamu již opraveno [oss-security mailing list].
Singularity (YouTube) je nejnovější otevřený film od Blender Studia. Jedná se o jejich první 4K HDR film.
Vyšla hra Život Není Krásný: Poslední Exekuce (Steam, ProtonDB). Kreslená point & click adventura ze staré školy plná černého humoru a nekorektního násilí. Vžijte se do role zpustlého exekutora Vladimíra Brehowského a projděte s ním jeho poslední pracovní den. Hra volně navazuje na sérii Život Není Krásný.
Společnost Red Hat představila Fedora Hummingbird, tj. linuxovou distribuci s nativním kontejnerovým designem určenou pro vývojáře využívající AI agenty.
Hru The Legend of Zelda: Twilight Princess od společnosti Nintendo si lze nově díky projektu Dusklight (původně Dusk) a reverznímu inženýrství zahrát i na počítačích a mobilních zařízeních. Vyžadována je kopie původní hry (textury, modely, hudba, zvukové efekty, …). Ukázka na YouTube. Projekt byl zahájen v srpnu 2020.
Byla vydána nová major verze 29.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Detailní přehled novinek na GitHubu.
Po zranitelnostech Copy Fail a Dirty Frag přichází zranitelnost Fragnesia. Další lokální eskalace práv na Linuxu. Zatím v upstreamu neopravena. Přiřazeno ji bylo CVE-2026-46300.
7.2.2015 19:07
pavlix | skóre: 54
| blog: pavlix
Ale, pokud pouzivas dostatecne aktualni SW zadne zasadni riziko ti nehrozi.Jistě. Zvlášť pokud má pod účtem kleopatra třeba nějaké zajímavé fotky :).
Proč by někdo ve 21. století používal FTP? Obávám se, že právě v tom je nakonec celá podstata problému.
4.2.2015 21:12
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Tam pomůže jedině autentifikace certifikátem, protože soukromý klíč bude útočník hádat hodně dlouho. 
Někdy se taky vyplatí to hádání ztížit vhodným automatickým zakazováním podle IP adres, ale s tím mám celkem špatné zkušenosti, protože drtivá většina dostupných řešení naprosto ignoruje IPv6.
4.2.2015 21:15
Jendа | skóre: 78
| blog: Jenda
| JO70FB
nemam tam totiz bezne jednoduche hesloAle ncrack funguje přesně takhle… To přihlášení máš určitě zalogované.
4.2.2015 21:59
Jendа | skóre: 78
| blog: Jenda
| JO70FB
4.2.2015 22:32
Jendа | skóre: 78
| blog: Jenda
| JO70FB
A tim padem ma stejny problem treba samba? Nebo dokonce SSH?Samozřejmě.
Jak se to tedy da resit, aby mi nekdo bruteforce utokem neprolamal hesla?Používat hesla, která nejdou zlomit brute-force útokem.
5.2.2015 01:01
Jendа | skóre: 78
| blog: Jenda
| JO70FB
No, hele, jestli tam neni zadne casove omezeni a da se do toho "busit" nonstop, tak prece neni problem brute force utokem udelat i alfanumericke heslo o 20 znacich?Jako třeba 1024 let při 1000 pokusech za sekundu?
nebo obráceně když by do toho bušil celou dobu existence planety země tedy cca 4*10^9 let tak potřebuje 5*10^18 pokusů za sekundu.
Proc neni fail2ban reseni?Když chcete řešit problém hádání hesel, je řešením například nastavit politiku na hesla, aby byla dostatečně silná, nebo v horším případě omezit na serveru počet pokusů o přihlášení. Fail2ban místo toho čte logy a nastavuje firewall.
Co je lepsi?Používat dostatečně silná hesla.
A tim padem ma stejny problem treba samba?Stejný problém má vše, kde používáte slabá hesla.
Nebo dokonce SSH? (Pouzivam hesla, certifikaty mi moc nevoni)Musel byste mít dost dlouhé heslo, aby bylo stejně bezpečné jako klíč. Přihlašování klíčem je jednoduché, bezpečnější, pohodlnější - nebylo by jednodušší začít ho používat místo pokusů zabezpečit přihlášení se slabým heslem?
Jak se to tedy da resit, aby mi nekdo bruteforce utokem neprolamal hesla?Tak, že nepoužíváte slabá hesla. Pokud to bude vycházet tak, že pro uhodnutí vašich přihlašovacích údajů potřebuje útočník v průměru delší dobu, než je současné odhadované stáří vesmíru, asi vás útok hrubou silou nemusí moc trápit.
Když chcete řešit problém hádání hesel, je řešením například nastavit politiku na hesla, aby byla dostatečně silná, nebo v horším případě omezit na serveru počet pokusů o přihlášení. Fail2ban místo toho čte logy a nastavuje firewallmozna jsem natvrdlej ale neni tohle prave lepsi? podle me je lepsi blokovat napr IP po 5ti pokusech nez mit hustodemonskykrutoprisne heslo ktere vnucujes uzivatelum ktere logicky taky snaze zapomenou, nez mit logy "zasrane" tisici najivnich pokusu to heslo zlomit?
5.2.2015 13:05
Jendа | skóre: 78
| blog: Jenda
| JO70FB
podle me je lepsi blokovat napr IP po 5ti pokusechDneska se pro necílené útoky stejně většinou používají botnety, kde každý bot (jiná IP) zkouší jen pár hesel.
nez mit logy "zasrane" tisici najivnich pokusu to heslo zlomitProč to loguješ?
Dneska se pro necílené útoky stejně většinou používají botnety, kde každý bot (jiná IP) zkouší jen pár hesel.mam opacnou zkusenost, co IP to par desitek az set pokusu
Proč to loguješ?1)vetsina softu to ma automaticky, takze kdyz na to nekdo zapomene znamena to obrovske mnoztvi bordelu
Proč to loguješ?Však se to má od nového roku hlásit do nějakého toho kybernetického úřadu, ne? Co řádek s neúspěšným přihlášením, to jedno hlášení.
To, že z IP adresy přišlo 5 chybných pokusů o přihlášení, neznamená, že 6. pokus nebude od oprávněného uživatele.trochu mimo ne? 99% utoku je z Ciny, SSSR, USA.. bavime se tu o malem servru, ne o nejakem globalnim reseni pro celosvetovy server, tam by takova situace mohla nastat..
SSH povoluji jenom přihlášení klíčem, jinak preferuji SSO.SSH neresim, tam davam nestandardni port to odfiltruje botnet a jakykoliv pokus o log na SSH na nestandardnim portu si beru osobne, FTP je neco jineho kvuli ruznym klientum a BFU neni mozne prehazovat port jen tak
Když mne tisíce naivních pokusů zlomit heslo nezajímají, není důvod to logovat nebo se těmi logy zabývat. Logy jsou pomůcka pro řešení problémů. Je nesmysl bezpečnostní nastavení měnit proto, aby se něco objevilo nebo neobjevilo v logu.jako vazne? a nemyslim tim posledni vetu... beru to jako sarkasmus.. nebudu to radeji dal komentovat
trochu mimo ne? 99% utoku je z Ciny, SSSR, USA..To neznamená, že součástí botnetu nemůže být počítač vašeho souseda. Nebo že uživatel zazmatkuje, párkrát zadá špatné heslo, pak si nevšimne, že má prohozené Y a Z, a pět pokusů je pryč. Každopádně pokud je problém, že by útočník mohl uhádnout slabé heslo, je požadování silného hesla dost přímočaré řešení. Blokování IP adres je naproti tomu řešení dost velkou oklikou, a je otázka, zda se na tom výletě nezapomnělo, co se vlastně řeší za problém.
SSH neresim, tam davam nestandardni port to odfiltruje botnetAby to také jednou neodfiltrovalo vás, až budete v síti, kde je povolený odchozí provoz jen na dobře známé porty. Navíc takhle řešíte jen hloupé botnety, před trochu chytřejším nebo cíleným útokem se rovnou vzdáváte?
jako vazne? a nemyslim tim posledni vetu... beru to jako sarkasmus.. nebudu to radeji dal komentovatJako vážně. Logy jsou jenom pomůcka. Upravovat v konfiguraci cokoli jenom kvůli logům (samozřejmě mimo konfigurace samotného logování) je diletantismus nejhoršího kalibru. Pokud se mi něco nelíbí na logu, je potřeba to řešit konfigurací logování, pokud to jde, nebo následným zpracováním logu. Jinak byste také mohl povolit přihlášení pod libovolným jménem a s libovolným heslem, to by vám také „problém“ s hláškami o neúspěšných pokusech o přihlášení vyřešilo… (Ano, tahle poslední věta je sarkasmus.)
5.2.2015 19:06
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Pokud někdo získá přístup k tvému účtu v NB a moc mu na tom záleží, tak jsi stejně kompromitovaný, protože keyloger.Ne. „Získat přístup k notebooku“ taky může znamenat „získal jsem přístup k notebooku, ale majitel se o tom dozvěděl, proto už ten systém nebude používat a keylogger bude k prdu“. Příkladem takového útoku je to, co se stalo panu Silkroadovi.
Prece jenom, kdyz se pak chci prihlasit z jineho zarizeni, neni treba nahravat klic, atd. Navic, kdybych zakazal prihlaseni heslem, byl by pruser, nedostal bych se tam. Takze tam stejne ta "bezpecnostni dira" zustane, tak proc delat hnedka dve diry - klic+heslo, kdyz staci jedna
5.2.2015 19:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
proste na to clovek se-e, dokud se neco nestane budu se nad tim muset vazne zamyslet..
Da se vlastne nejak efektivne zjistit, ze se na stroj nekdo prihlasil? Vsechny me stroje obsluhuju jenom ja, takze kdyz mi prijde email, jakmile se nekdo zaloguje, bylo by to dostacujici varovani.
Jenomze, to stejne neresi pripad, kdy se nekdo do systemu dostane skrze nejakou diru a ziska prava roota. Pak to neni bezne prihlaseni treba pres ssh a takovy system informovani selze.
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
14.2.2015 18:09